👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 10 y 14 del Marco COSO, y los criterios CC7.5 y CC9.1.
TSC: Disponibilidad: A1.2 y A1.3.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir las estrategias y procedimientos necesarios para recuperar los sistemas tecnológicos de tu empresa ante la ocurrencia de un desastre o una emergencia. El objetivo de este plan es asegurar que puedas restaurar tus operaciones y cumplir con tus compromisos de disponibilidad con los clientes, minimizando la pérdida de información y el tiempo de inactividad.
💡 El conjunto de estas estrategias conforma el Plan de Recuperación ante Desastres, también conocido como DRP (Disaster Recovery Plan).
¿Qué tengo que hacer? 🚀
Antes de comenzar, es muy importante comprender qué son el RPO y el RTO, métricas clave para la definición de este plan.
RPO (Recovery Point Objective): Es la pérdida máxima de datos que tu empresa puede tolerar, medida en tiempo. Determina la frecuencia con la que debes realizar tus respaldos (“Procedimiento de Gestión de Backups”).
RTO (Recovery Time Objective): Es el tiempo máximo que tu empresa puede tardar en recuperar sus servicios después de un desastre.
La siguiente imagen nos ayuda a ejemplificar mejor estos conceptos:
Para documentar tu DRP, te sugerimos realizar las siguientes actividades:
Asignación de responsables
Define quiénes serán los encargados de ejecutar y monitorear los procedimientos de recuperación. Se recomienda establecer un orden de escalamiento para asegurar una respuesta coordinada.
Identificación de los elementos alcanzados
Enlista todos los componentes, sistemas y recursos tecnológicos críticos que deben ser recuperados para restablecer el servicio a tus clientes.
Creación de los procedimientos de recuperación
Para cada escenario de desastre posible (por ejemplo, indisponibilidad de tu proveedor de nube, fallo de una base de datos, ataque de ransomware), debes establecer las acciones paso a paso que se deben tomar para recuperar las operaciones.
Definición de las métricas RPO y RTO
Define tiempos realistas y factibles para tu empresa.
RPO: Usualmente se alinea con la frecuencia de tus backups. 🚀 Recomendamos un RPO de 24 horas, lo que implica realizar respaldos diarios.
RTO: Depende de la complejidad de tu infraestructura y la criticidad del servicio. 🚀 Recomendamos un RTO de entre 4 a 8 horas, pero debe ser un tiempo que tu negocio pueda tolerar.
Revisión y mantenimiento del DRP
Este plan debe revisarse y actualizarse al menos una vez al año. Para ello, deben realizarse pruebas de continuidad, que consisten en simulacros para verificar que los procedimientos de recuperación funcionan correctamente. Estas pruebas son de vital importancia para cumplir con el criterio A1.3, que exige no solo desarrollar, sino también probar el plan.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Realiza pruebas de continuidad a tus procedimientos de recuperación por lo menos una vez al año. La evidencia de estas pruebas es crucial para una auditoría de SOC 2.
Asegúrate de que los responsables involucrados cuenten con la capacidad, el conocimiento y la autoridad necesarios para actuar de forma rápida y eficiente durante una crisis.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.